我的网站空间提供商告诉我,有虚假进程来自我的空间,因此他已将其关闭。因此,目前我的所有域名也无法访问。
他真的不知道该怎么做,他给我的唯一信息是:
--<PROZESS-AUSZUG>--
web277 7111 0.0 0.0 36192 2816 ? S 18:55 0:00 /usr/sbin/apache2 -k start
web277 7319 0.0 0.0 36192 2912 ? S 18:56 0:00 /usr/sbin/apache2 -k start
web277 7625 0.5 0.1 58800 13204 ? S 18:58 0:10 /usr/sbin/apache2 -k start
web277 7647 0.0 0.0 36192 2916 ? S 18:58 0:00 /usr/sbin/apache2 -k start
web277 9801 4.7 41.6 3572212 3403664 ? S 19:01 1:29 /usr/sbin/apache2 -k start
web277 9809 0.2 0.1 85196 11940 ? S 19:01 0:04 /usr/sbin/apache2 -k start
web277 9831 0.0 0.0 36192 2908 ? S 19:01 0:00 /usr/sbin/apache2 -k start
web277 10617 0.2 0.0 54120 7992 ? S 19:05 0:03 /usr/sbin/apache2 -k start
web277 10639 0.0 0.0 36192 2900 ? S 19:05 0:00 /usr/sbin/apache2 -k start
web277 10645 0.0 0.0 36484 1992 ? S 19:05 0:00 /usr/sbin/apache2 -k start
web277 10892 0.2 0.0 53300 7880 ? S 19:06 0:03 /usr/sbin/apache2 -k start
web277 10914 0.0 0.0 36192 2908 ? S 19:06 0:00 /usr/sbin/apache2 -k start
web277 11606 0.1 0.1 85216 12160 ? S 19:10 0:02 /usr/sbin/apache2 -k start
web277 11634 0.0 0.0 36192 2928 ? S 19:10 0:00 /usr/sbin/apache2 -k start
web277 15084 0.0 0.0 36192 3308 ? S 19:18 0:00 /usr/sbin/apache2 -k start
--<PROZESS-AUSZUG>--
大家有什么想法吗?
答案1
其中大部分看起来都很正常。
他给你的是输出,ps aux所以我添加了标题来帮助解释这些字段:
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
web277 9801 4.7 41.6 3572212 3403664 ? S 19:01 1:29 /usr/sbin/apache2 -k start
对我来说,唯一引人注目的进程是上面的进程。它使用了机器可用内存的 41% 和可用 CPU 的 4.7%(对于单个 Apache 进程来说,这个数字相当大)。它使用了 1 分 29 秒的 CPU 时间,对于单个 Apache 进程来说,这个数字相当大。我强烈怀疑这就是您的托管服务提供商所抱怨的。
在我看来,该特定 Apache 进程陷入了无限循环。您可以终止它以暂时解决问题并让您的网站重新上线 ( sudo kill 9801),但最好先找出它在做什么,这样您就可以阻止问题再次发生。
如果您的托管服务提供商已ExtendedStatus on在其 Apache 配置中设置,请他为您提供与 PID 9801 相对应的行。/server-status这将包括请求 URI,使您能够在需要时重现此问题。
如果您知道应用程序在获取该 URI 时正在做什么,请找到无限循环(假设我对该问题的猜测是正确的)并修复它。
如果这还不足以解决问题,您还可以使用它sudo strace -p 9801来准确找出该进程当前正在做什么。此命令通常会产生大量输出,而解释这些输出是整本书的主题,而不是 ServerFault 上的答案。
答案2
您可能需要调查此漏洞
尤其是当您无法在服务器 /usr/sbin/apache2 上找到文件时,因为脚本可以伪造显示的名称。